Настройка AD FS

Перед настройкой проверьте, что Active Directory Federation Services (AD FS) сконфигурирован на вашем Windows Server.

Настройка состоит из следующих шагов:

Шаг 1. Установка адаптера

  1. Перейдите на Windows Server с настроенным AD FS.
  2. Скачайте адаптер из панели администратора Kontur.ID на Windows Server.
  3. Запустите файл «installScript.ps1».

После установки в AD FS станет доступен новый способ проверки двухфакторной аутентификации.

Шаг 2. Выбор способа проверки

  1. Перейдите в «Server Manager» и нажмите «Tools» → «AD FS Management».
  2. В меню выберите «Service» → «Authentication Methods» и нажмите «Edit Multi-factor Authentication Methods...».
  3. На вкладке «Addditional» выберите «Kontur.ID ADFS adapter».
  4. Нажмите «Apply» → «OK»

Шаг 3. Выбор приложения

  1. В левом меню выберите «Service» → «Relying Party Trusts»
  2. Выберите  приложение, для которого настраиваете двухфакторную аутентификацию.

  3. В правом окне нажмите «Edit Access Control Policy» или правой кнопкой мыши по приложению.
  4. Выберите вариант, предполагающий запрос «MFA».

    Как правило, достаточно выбрать «Permit everyone and require MFA».

  5. Нажмите «Apply» → «OK».

Настройка двухфакторной аутентификации завершена.

Устранение неполадок

Не удалось загрузить внешний метод проверки подлинности Kontur.ID-2fa

Библиотеки WinServer 2012 могут быть устаревшие. Напишите вашему менеджеру по внедрению для исправления ошибки.

Дополнительные возможности

 Саморегистрация пользователей и многодоменность

В сервисе реализована возможность подставлять почту из Active Directory в форму регистрации для пользователей, которые пытаются войти через AD FS.

Включенная надстройка на домен Без надстройки на домен

Чтобы включить надстройку, перед установкой нужно в файле «appsettings.json» добавить строчку с доменом:

"AdDomains": [ "domain" ]

Если к вашему ресурсу подключены несколько доменов, можно указать их все для корректной регистрации пользователей. Для этого добавьте строчку:

"AdDomains": [ "domain1", "domain2", "domain3"]

В итоге файл «appsettings.json» может выглядеть так:

Без домена:

{
  "VerificationApiUri": "https://kid.kontur.ru",
  "ApiKey": "apikey"
}

Один домен:

{
  "VerificationApiUri": "https://kid.kontur.ru",
  "ApiKey": "apikey",
  "AdDomains": [ "kontur.id" ]
}

Многодоменность:

{
  "VerificationApiUri": "https://kid.kontur.ru",
  "ApiKey": "apikey",
  "AdDomains": [ "kontur.id", "kontur.diadoc", "kontur.extern"]

}


id

Двухфакторная аутентификация на ваши ресурсы

Протестируй функциональность бесплатно в течении 2х недель